科技論文出版全生命周期的安全問題與對策

王 蘊(yùn) 吳炳潮 關(guān) 貝 王永吉

1)國家稅務(wù)總局稅務(wù)干部學(xué)院(大連)，遼寧省大連市高新園區(qū)數(shù)碼路41號 116023 2)中國科學(xué)院軟件研究所協(xié)同創(chuàng)新中心,北京市海淀區(qū)中關(guān)村南四街4號 100190 3)中國科學(xué)院大學(xué),北京市石景山區(qū)玉泉路19號(甲) 100049 4)計(jì)算機(jī)科學(xué)國家重點(diǎn)實(shí)驗(yàn)室(中國科學(xué)院軟件研究所),北京市海淀區(qū)中關(guān)村南四街4號 100190

互聯(lián)網(wǎng)時(shí)代推動(dòng)著科技革命的發(fā)展，知識信息、智慧價(jià)值、人才配置成為信息革命的創(chuàng)新源泉。在互聯(lián)網(wǎng)時(shí)代，《中國科技期刊研究》《軟件學(xué)報(bào)》、中國計(jì)算機(jī)大會等期刊與會議不斷涌現(xiàn)，隨之而來的是科技論文發(fā)表數(shù)量激增，并且科技論文正朝著數(shù)字化、網(wǎng)絡(luò)化方向發(fā)展。廣大科研人員利用互聯(lián)網(wǎng)的高速傳輸?shù)葍?yōu)勢，將最新的科研成果以電子形式呈現(xiàn)，通過互聯(lián)網(wǎng)實(shí)現(xiàn)線上投稿和出版。網(wǎng)絡(luò)化特征使信息無論在傳播途徑、傳播效率，還是傳播范圍等方面都發(fā)生前所未有的大變革，同時(shí)信息泄密的概率與風(fēng)險(xiǎn)增加，例如個(gè)人軟件開發(fā)者利用自己設(shè)計(jì)的網(wǎng)頁爬蟲軟件非法獲取阿里巴巴旗下的淘寶網(wǎng)的數(shù)據(jù)，導(dǎo)致超過11億條用戶信息數(shù)據(jù)被泄露。此外，目前互聯(lián)網(wǎng)學(xué)術(shù)期刊檢索系統(tǒng)收錄了大量的自然科學(xué)和社會科學(xué)領(lǐng)域論文，期刊檢索平臺在支持科技論文查詢的同時(shí)存在著泄密風(fēng)險(xiǎn)。唐迪等[1]指出，海外情報(bào)機(jī)構(gòu)利用期刊數(shù)據(jù)庫開展情報(bào)收集活動(dòng)，從公開發(fā)表的科技論文中獲取我國科技領(lǐng)域的敏感信息和情報(bào)。此外，秦曉雪[2]指出，在互聯(lián)網(wǎng)時(shí)代，科技期刊一直是國外情報(bào)機(jī)構(gòu)滲透和竊取信息的主要目標(biāo)，因此科技論文的保密工作尤為重要。雖然前人在科技論文出版過程中的信息安全問題研究方面已取得一定的成效，但他們僅關(guān)注科技論文出版過程中的部分環(huán)節(jié)，缺乏對科技論文出版過程中潛在的信息安全問題的整體考慮。本文從全生命周期角度研究科技論文發(fā)表過程中的各個(gè)環(huán)節(jié)存在的潛在安全問題及其對策，特別是對非公開資料的安全問題進(jìn)行研究。

1 科技論文出版的全生命周期

1.1 全生命周期概念

全生命周期是一個(gè)交易理念和理論。在不同的領(lǐng)域，研究者對全生命周期有著不同的闡釋，例如：軟件的全生命周期(Software Life Cycle，SLC)是軟件的整個(gè)生命周期，包括了軟件的需求可行性分析、需求設(shè)計(jì)編碼、調(diào)試和測試、驗(yàn)收和運(yùn)營；智能制造企業(yè)的產(chǎn)品生命周期管理平臺在產(chǎn)品和工藝設(shè)計(jì)、企業(yè)財(cái)務(wù)管理一體化等不同生命周期階段，通過定制新型生產(chǎn)模式來加速企業(yè)健康發(fā)展。既往研究參考全生命周期概念來探究科技論文評審機(jī)制中的信息安全問題，如李滿意[3]指出，全生命周期管理思路在科技評審機(jī)制和保密評審機(jī)制等方面發(fā)揮著巨大的作用。然而，既往研究僅考慮科技論文出版過程中評審階段的信息安全問題，本文分別從作者、作者機(jī)構(gòu)和編輯部等角度探索論文出版全生命周期中的信息安全問題以及對策。

1.2 科技論文出版全生命周期

科技論文出版全生命周期包括作者選題策劃、作者單位審查、編輯部審稿和涉密材料銷毀4個(gè)階段，如圖1所示。

圖1 科技論出版全生命周期

(1) 作者選題策劃階段。作者在策劃科技論文選題時(shí)，應(yīng)當(dāng)首先了解《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī)在科技論文相關(guān)領(lǐng)域?qū)颐孛芊秶兔芗壗缍ǖ囊?guī)定，然后結(jié)合研究內(nèi)容來合理地選擇科技論文選題方向。

(2) 作者單位審查階段。科技論文涉及科技生產(chǎn)的前沿知識，因此作者所屬單位應(yīng)當(dāng)對科技成果進(jìn)行審核，依據(jù)相關(guān)法律法規(guī)判斷科技論文是否超出學(xué)術(shù)研究的范疇，做好對科技成果及關(guān)鍵技術(shù)的密級劃定，做好對創(chuàng)新成果信息安全的保密審查工作。

(3) 編輯部審稿階段。編輯部在論文安全審查中起著至關(guān)重要的作用。編輯部的工作人員和審稿人要強(qiáng)化保密觀念，嚴(yán)格遵守編輯制度，防止泄露論文的保密信息。編輯部的審查流程具體包括約稿、收稿、初審和外部審查4個(gè)環(huán)節(jié)[4]。

(4) 涉密材料銷毀階段。科技論文出版過程中不僅存在公開發(fā)表的材料(例如發(fā)表的論文)，還存在非公開發(fā)表的材料(例如作者回復(fù)審稿人的郵件)。編輯部需依據(jù)設(shè)計(jì)完備的規(guī)章制度來銷毀材料中的涉密內(nèi)容。

2 科技論文出版全生命周期的安全問題

安全問題貫穿科技論文出版全生命周期的4個(gè)階段。根據(jù)科技論文出版全生命周期安全問題的特點(diǎn)，需要在科技論文出版過程中提前識別風(fēng)險(xiǎn)，對潛在的信息安全風(fēng)險(xiǎn)進(jìn)行分析[5-8]。

2.1 作者選題策劃階段

在作者選題策劃階段存在的潛在信息安全問題包括：(1)作者缺乏對《中華人民共和國保守國家秘密法》《中華人民共和國國家安全法》《中華人民共和國生物安全法》等法律法規(guī)的了解，作者對所研究的科技論文課題的保密性知之甚少。在撰寫科技論文之前，作者保密意識淡薄，未按科技保密審查規(guī)章制度對科技論文課題的保密性進(jìn)行研判，而是按照自己的主觀意識對科技論文保密性進(jìn)行判定。(2)作者在撰寫科學(xué)論文時(shí)泄露機(jī)密信息。作者迫于職稱晉升、學(xué)位評定、業(yè)績評定和績效考核等的壓力，在撰寫科技論文時(shí)，僅考慮科技論文的錄用率，而過于詳細(xì)地描述了關(guān)鍵技術(shù)參數(shù)、技術(shù)方案、實(shí)現(xiàn)路徑等涉及機(jī)密的科技成果。

2.2 作者單位審查階段

在作者單位審查階段存在的潛在信息安全問題包括：(1)作者單位缺乏完善的定密工作機(jī)制。合理的定密制度是決定科技論文審查有效性的關(guān)鍵因素。做好科技論文定密工作，其基礎(chǔ)任務(wù)是指定定密細(xì)目并確認(rèn)細(xì)目的細(xì)化程度，從而保障國家安全和利益。(2)作者單位對保密審查制度的執(zhí)行力不足。《中華人民共和國保守國家秘密法》第三條規(guī)定：“一切國家機(jī)關(guān)、武裝力量、政黨、社會團(tuán)體、企業(yè)事業(yè)單位和公民都有保守國家秘密的義務(wù)?！笨萍颊撐淖髡邌挝浑m然設(shè)立了保密評審機(jī)構(gòu)，但大多數(shù)該類機(jī)構(gòu)缺乏兼具保密知識和科研知識的評審人員，導(dǎo)致科技論文保密評審制度流于形式，保密評審機(jī)構(gòu)未能有效履行保密評審職責(zé)。

2.3 編輯部審稿階段

編輯部主要在約稿、收稿、初審和外審4個(gè)環(huán)節(jié)審理科技論文，每個(gè)環(huán)節(jié)都有潛在的信息安全問題。在科技論文約稿過程中，部分編輯部在征稿啟事中要求作者自己承擔(dān)保密義務(wù)，僅通過郵件等方式提醒作者確保投稿的科技論文不涉及保密事項(xiàng)，并未按照規(guī)定設(shè)置保密條款，也未按照科技論文保密規(guī)定要求提供保密審查證明。在接收稿件的過程中，作者將稿件通過互聯(lián)網(wǎng)傳輸給編輯部，此過程可能受到間諜軟件、木馬和網(wǎng)絡(luò)嗅探等的攻擊，導(dǎo)致機(jī)密信息泄露。在初審過程中，由于期刊編輯人員數(shù)量和知識結(jié)構(gòu)不合理，科技論文中的泄密信息無法被察覺。在外審過程中，期刊工作人員可能無法識別科技論文涉密內(nèi)容和專業(yè)技術(shù)信息，將稿件中的涉密內(nèi)容發(fā)送給外部審稿人。由于缺少對外部審稿人的相關(guān)限制，科技論文涉密信息可能被外部審稿人泄露。

2.4 涉密材料銷毀階段

編輯部在處理科技論文稿件時(shí)，不僅會接觸到最終公開發(fā)表的論文，還會接觸到未公開的涉密材料，例如作者對審稿人的回復(fù)。編輯部的工作人員在處理涉密材料時(shí)存在2個(gè)問題：(1)工作人員對未公開的涉密材料的重視程度不足，往往僅關(guān)注最終發(fā)表的論文是否涉及泄密信息，輕視了對未公開的涉密材料的處理；(2)編輯部擅自銷毀涉密材料，他人利用技術(shù)手段恢復(fù)涉密材料，從而導(dǎo)致核心機(jī)密信息泄露。

3 科技論文出版全生命周期安全問題的對策

建立科技論文全生命周期監(jiān)控機(jī)制，實(shí)現(xiàn)對科技論文出版全生命周期的過程管理，可有效防御和積極應(yīng)對科技論文出版全生命周期的信息安全問題。

3.1 作者選題策劃階段

從作者選題策劃的角度，針對作者缺乏保密意識和刻意泄露涉密信息的問題，提出2個(gè)解決措施：(1) 加強(qiáng)自審，強(qiáng)化作者保密意識?？萍颊撐淖髡邞?yīng)當(dāng)定期參與單位組織的保密警示教育活動(dòng)，強(qiáng)化科技論文保密意識，始終堅(jiān)持不發(fā)表涉密內(nèi)容的原則，或?qū)ο嚓P(guān)內(nèi)容進(jìn)行脫密處理后再投稿，從根源上杜絕科技論文泄密事件的發(fā)生[9-10]。(2)作者應(yīng)把握好回避原則。作者在選題時(shí)，應(yīng)當(dāng)回避國防科技發(fā)展和武器裝備研究等涉密主題。在撰寫科技論文時(shí)，盡量不使用涉密科研項(xiàng)目中的文件資料和圖標(biāo)，嚴(yán)禁直接發(fā)表涉密成果。

3.2 作者單位審查階段

從作者單位審查的角度，針對作者單位缺乏完善的定密工作機(jī)制和對保密審查制度的執(zhí)行力不足的問題，提出2個(gè)解決措施：(1)完善審查定密工作，落實(shí)科技論文保密審查專人負(fù)責(zé)制?？萍颊撐淖髡邌挝灰晟瓶萍颊撐谋Ｃ芄ぷ鳈C(jī)制，規(guī)范科技論文評審流程?？萍颊撐谋Ｃ茉u審專員不僅需要掌握有關(guān)保密的法律法規(guī)和規(guī)章制度，還需要熟練掌握科技論文中涉及的專業(yè)技術(shù)。(2)加強(qiáng)科技論文保密知識教育?？萍颊撐谋Ｃ軐彶楣ぷ髦苯雨P(guān)系到國家安全和利益?？萍颊撐淖髡邌挝粦?yīng)加強(qiáng)保密宣傳工作，構(gòu)筑保密的第一道“防火墻”。根據(jù)科技論文作者研究內(nèi)容的特點(diǎn)，作者單位應(yīng)多組織科技論文保密知識學(xué)習(xí)活動(dòng)，增強(qiáng)作者的科技成果保密意識，傳播科技信息保密理念。

3.3 編輯部審稿階段

從編輯部審稿的角度，針對編輯部在處理稿件的各環(huán)節(jié)中存在的問題，提出4個(gè)解決措施：(1)在約稿過程中，需要對涉及國家機(jī)密的論文或者涉及國防信息的內(nèi)容進(jìn)行保密審查。必須明確科技論文保密審查要求，積極落實(shí)保密制度。(2)在接收稿件的過程中，通過密鑰的方式提高科技論文網(wǎng)絡(luò)數(shù)據(jù)庫的安全性。周全[5]指出，密鑰使網(wǎng)絡(luò)數(shù)據(jù)庫和科技論文訪問者形成相應(yīng)的契約關(guān)系?？萍颊撐木W(wǎng)絡(luò)數(shù)據(jù)庫可以采用實(shí)物、數(shù)字簽名或生物特征數(shù)據(jù)密碼，為訪問者提供相應(yīng)的網(wǎng)絡(luò)密碼，使數(shù)據(jù)在網(wǎng)絡(luò)數(shù)據(jù)庫和訪問者之間實(shí)現(xiàn)點(diǎn)對點(diǎn)的安全傳輸，從而迅速完成注冊驗(yàn)證過程，極大提高科技論文的安全性。(3)在初審過程中，可采用兩階段人工審核和AI賦能審核的方法。其中兩階段人工審核為“初審+專家審”模式：在初審環(huán)節(jié)篩選涉及機(jī)密的稿件,由專家進(jìn)行判定。AI賦能審核指利用人工智能技術(shù)自動(dòng)識別科技論文敏感信息或自動(dòng)對科技論文敏感信息進(jìn)行打碼。(4)在外審過程中，對于涉密科技論文, 在聯(lián)系作者排除涉密內(nèi)容后，將稿件交給外部審稿人，并且實(shí)行“外審專家認(rèn)證制”，防止外審專家私自泄露科技論文中的機(jī)密信息[11-14]。

3.4 涉密材料銷毀階段

從涉密材料銷毀的角度，針對編輯部在處理稿件的各環(huán)節(jié)中存在的問題，提出2個(gè)解決措施：(1)嚴(yán)格按照《關(guān)于國家秘密載體保密管理的規(guī)定》來執(zhí)行涉密材料的銷毀，使用符合國家保密標(biāo)準(zhǔn)的銷毀設(shè)備和方法，確保國家秘密信息無法還原；(2)登記涉密材料銷毀記錄，且長期保存相關(guān)記錄以供后續(xù)審核[15-16]。

4 結(jié)語

首先，本文定義科技論文出版全生命周期包括作者選題策劃、作者單位審查、編輯部審稿和涉密材料銷毀4個(gè)階段。其次，從科技論文出版全生命周期角度梳理和分析各階段中存在的潛在信息安全問題。最后，針對各階段中存在的問題，設(shè)計(jì)相應(yīng)的解決措施，由此保障科技論文發(fā)表過程中的信息安全。

本文僅從科技論文出版全生命周期角度來分析信息安全問題，出版后論文信息被惡意篡改等信息安全問題是未來的研究方向。